Планирование реализации Power BI: Defender для облака Приложения для Power BI

Примечание.

Эта статья входит в серию статей по планированию реализации Power BI. В этой серии основное внимание уделяется интерфейсу Power BI в Microsoft Fabric. Общие сведения о серии см. в статье о планировании реализации Power BI.

В этой статье описаны действия по планированию, связанные с реализацией приложений Defender для облака, как это связано с мониторингом Power BI. Она нацелена на:

  • Администраторы Power BI: администраторы, ответственные за надзор за Power BI в организации. Администраторы Power BI должны сотрудничать с информационной безопасностью и другими соответствующими командами.
  • Центр превосходства, ИТ-отдела и группы бизнес-аналитики: другие, ответственные за надзор за Power BI в организации. Им может потребоваться совместная работа с администраторами Power BI, группами информационной безопасности и другими соответствующими командами.

Внимание

Мониторинг и защита от потери данных (DLP) является значительным предприятием всей организации. Его область и влияние гораздо больше, чем Только Power BI. Эти типы инициатив требуют финансирования, приоритета и планирования. Ожидается, что в планировании, использовании и надзоре будет задействовано несколько межфункциональными командами.

Мы рекомендуем следовать постепенному поэтапному подходу к развертыванию Defender для облака Приложений для мониторинга Power BI. Описание типов этапов развертывания, которые следует учитывать, см. в разделе "Защита информации" для Power BI (этапы развертывания).

Назначение мониторинга

Microsoft Defender для облака Приложения (ранее известные как Microsoft Cloud App Security) — это брокер Cloud Access Security (CASB), поддерживающий различные режимы развертывания. Он имеет широкий набор возможностей, которые значительно выходят за рамки этой статьи. Некоторые возможности доступны в режиме реального времени, а другие — не в режиме реального времени.

Ниже приведены некоторые примеры мониторинга в режиме реального времени, которые можно реализовать.

  • Блокировать скачивание из служба Power BI. Вы можете создать политику сеанса для блокировки определенных типов действий пользователей. Например, когда пользователь пытается скачать отчет из служба Power BI, назначаемой меткой конфиденциальности с высоким уровнем ограничений, действие скачивания может быть заблокировано в режиме реального времени.
  • Блокировать доступ к служба Power BI неуправляемым устройством: вы можете создать политику доступа, чтобы запретить пользователям получать доступ к определенным приложениям, если только они не используют управляемое устройство. Например, когда пользователь пытается получить доступ к служба Power BI с личного мобильного телефона, который может быть заблокирован.

Ниже приведены некоторые примеры других возможностей, которые не находятся в режиме реального времени.

  • Обнаружение и оповещение определенных действий в служба Power BI. Вы можете создать политику действий, чтобы создать оповещение при возникновении определенных типов действий. Например, если в служба Power BI происходит административное действие (указывающее, что параметр клиента был изменен), вы можете получить оповещение электронной почты.
  • Мониторинг расширенных действий безопасности. Вы можете просматривать и отслеживать действия входа и действия безопасности, аномалии и нарушения. Оповещения можно создавать для таких ситуаций, как подозрительные действия, непредвиденные расположения или новое расположение.
  • Мониторинг действий пользователей. Вы можете просматривать и отслеживать действия пользователей. Например, администратору Power BI может быть назначено разрешение на просмотр журнала действий Power BI в дополнение к частоте входа пользователей в Defender для облака Apps.
  • Обнаружение и оповещение необычного поведения в служба Power BI: существуют встроенные политики для обнаружения аномалий. Например, когда пользователь скачивает или экспортирует содержимое из служба Power BI значительно чаще, чем обычные шаблоны, вы можете получать оповещение электронной почты.
  • Найдите несанкционированные приложения: в организации можно найти неуправляемые приложения. Например, пользователи могут делиться файлами (например, файлами Power BI Desktop или файлами Excel) в сторонней системе общего доступа к файлам. Вы можете заблокировать использование неуправляемого приложения, а затем связаться с пользователями, чтобы обучить их соответствующим способам совместного использования и совместной работы с другими пользователями.

Совет

Портал в Defender для облака Apps — это удобное место для просмотра действий и оповещений без создания скрипта для извлечения и скачивания данных. Это преимущество включает просмотр данных из журнала действий Power BI.

Power BI — это одно из многих приложений и служб, которые можно интегрировать с Defender для облака Apps. Если вы уже используете Defender для облака приложения для других целей, его можно использовать для мониторинга Power BI.

Политики, созданные в Defender для облака Apps, являются формой защиты от потери данных. В статье о защите от потери данных в Power BI рассматриваются политики защиты от потери данных для Power BI, настроенные в Портал соответствия требованиям Microsoft Purview. Мы рекомендуем использовать политики защиты от потери данных для Power BI с возможностями, описанными в этой статье. Хотя есть некоторые перекрытия концептуально, возможности отличаются.

Внимание

В этой статье рассматриваются возможности приложений Microsoft Defender для облака, которые можно использовать для мониторинга и защиты содержимого Power BI. Существует множество других возможностей в Defender для облака приложениях, которые не рассматриваются в этой статье. Не забудьте работать с другими заинтересованными лицами и системными администраторами, чтобы принимать решения, которые хорошо работают для всех приложений и вариантов использования.

Предварительные требования для приложений Defender для облака для Power BI

К настоящему моменту необходимо выполнить действия по планированию на уровне организации, описанные в статье о предотвращении потери данных для Power BI . Прежде чем продолжить, вы должны иметь ясность в:

  • Текущее состояние: текущее состояние защиты от потери данных в организации. У вас должно быть понимание того, в какой степени защита от потери данных уже используется, и кто отвечает за управление им.
  • Цели и требования: стратегические цели для реализации защиты от потери данных в организации. Понимание целей и требований будет служить руководством для ваших усилий по реализации.

Обычно защита информации уже реализована до реализации защиты от потери данных. Если метки конфиденциальности публикуются (описаны в статье о защите информации для Power BI), их можно использовать в определенных политиках в Defender для облака Apps.

Возможно, вы уже реализовали защиту от потери данных для Power BI (описано в статье о защите от потери данных для Power BI ). Эти возможности защиты от потери данных отличаются от возможностей, управляемых в Портал соответствия требованиям Microsoft Purview. Все возможности защиты от потери данных, описанные в этой статье, управляются на портале Defender для облака Apps.

Ключевые решения и действия

Перед настройкой политик в приложениях Defender для облака необходимо принять некоторые ключевые решения.

Решения, связанные с политиками приложений Defender для облака, должны напрямую поддерживать цели и требования для защиты данных, которые вы ранее определили.

Тип политики и действия

Вам потребуется рассмотреть, какие действия пользователей заинтересованы в мониторинге, блокировке или контроле. Тип политики в Defender для облака Apps влияет:

  • То, что вы можете достичь.
  • Какие действия можно включить в конфигурацию.
  • Будут ли элементы управления выполняться в режиме реального времени или нет.

Политики реального времени

Политики доступа и политики сеансов, созданные в Defender для облака Приложения, позволяют отслеживать, блокировать или контролировать сеансы пользователей в режиме реального времени.

Политики доступа и политики сеансов позволяют:

  • Программное реагирование в режиме реального времени: обнаружение, информирование и блокировка рискованного, непреднамеренного или недопустимого совместного использования конфиденциальных данных. Эти действия позволяют выполнять следующие действия:
    • Улучшайте общую настройку безопасности клиента Power BI с помощью автоматизации и информации.
    • Включите варианты аналитического использования, которые включают конфиденциальные данные таким образом, чтобы их можно было проверить.
  • Предоставление пользователям контекстных уведомлений: эта возможность позволяет:
    • Помогите пользователям принимать правильные решения во время нормального рабочего процесса.
    • Помогут пользователям следовать политике классификации и защиты данных, не влияя на производительность.

Чтобы обеспечить элементы управления в режиме реального времени, политики доступа и политики сеансов работают с идентификатором Microsoft Entra, используя возможности обратного прокси-сервера для управления условным доступом. Вместо запросов пользователей и ответов, поступающих через приложение (служба Power BI в этом случае), они проходят обратный прокси-сервер (Defender для облака приложения).

Перенаправление не влияет на взаимодействие с пользователем. Однако URL-адрес для служба Power BI изменится на https://app.powerbi.com.mcas.ms тот раз, когда вы настроили идентификатор Microsoft Entra для управления условным доступом с помощью Power BI. Кроме того, пользователи получат уведомление при входе в служба Power BI, которое объявляет, что приложение отслеживается Defender для облака Приложениями.

Внимание

Политики доступа и политики сеансов работают в режиме реального времени. Другие типы политик в приложениях Defender для облака включают короткую задержку при оповещении. Большинство других типов защиты от потери данных и аудита также испытывают задержку, включая защиту от потери данных для Power BI и журнал действий Power BI.

Политики доступа

Политика доступа, созданная в Defender для облака Apps, определяет, разрешен ли пользователю войти в облачное приложение, например служба Power BI. Организации, которые находятся в строго регулируемых отраслях, будут обеспокоены политиками доступа.

Ниже приведены некоторые примеры использования политик доступа для блокировки доступа к служба Power BI.

  • Непредвиденный пользователь: вы можете заблокировать доступ для пользователя, который не является членом определенной группы безопасности. Например, эта политика может быть полезной, если у вас есть важный внутренний процесс, который отслеживает утвержденных пользователей Power BI через определенную группу.
  • Неуправляемое устройство: вы можете заблокировать доступ к личному устройству, которое не управляется организацией.
  • Необходимые обновления. Вы можете заблокировать доступ для пользователя, который использует устаревший браузер или операционную систему.
  • Расположение. Вы можете заблокировать доступ к расположению, в котором у вас нет офисов или пользователей, или из неизвестного IP-адреса.

Совет

Если у вас есть внешние пользователи, обращающиеся к клиенту Или сотрудникам Power BI, которые часто путешествуют, это может повлиять на определение политик управления доступом. Эти типы политик обычно управляются ИТ-службой.

Политики сеанса

Политика сеанса полезна, если вы не хотите полностью разрешать или блокировать доступ (что можно сделать с политикой доступа, как описано ранее). В частности, он позволяет пользователю получать доступ во время мониторинга или ограничения того, что активно происходит во время сеанса.

Ниже приведены некоторые примеры способов использования политик сеансов для мониторинга, блокировки или управления сеансами пользователей в служба Power BI.

  • Блокировка скачивания: блокировка скачивания и экспорта при назначении определенной метки конфиденциальности, например строго ограниченной, элементу в служба Power BI.
  • Отслеживайте входы: отслеживайте, когда пользователь, который соответствует определенным условиям, войдите в систему. Например, пользователь может быть членом определенной группы безопасности или использует личное устройство, которое не управляется организацией.

Совет

Создание политики сеанса (например, для предотвращения загрузки) для содержимого, которое назначено определенной метки конфиденциальности, например с высокой степенью ограничения, является одним из наиболее эффективных вариантов использования для элементов управления сеансами в режиме реального времени с помощью Power BI.

Кроме того, можно управлять отправкой файлов с помощью политик сеансов. Однако обычно вы хотите поощрять пользователей самостоятельной бизнес-аналитики для отправки содержимого в служба Power BI (вместо общего доступа к файлам Power BI Desktop). Поэтому тщательно подумайте о блокировке отправки файлов.

Контрольный список. При планировании политик в режиме реального времени в приложениях Defender для облака ключевые решения и действия включают:

  • Определите варианты использования для блокировки доступа: компилируйте список сценариев при блокировке доступа к служба Power BI подходит.
  • Определите варианты использования для отслеживания входов: компилируйте список сценариев для отслеживания входа в служба Power BI подходит.
  • Определите варианты использования для блокировки загрузки: определите, когда следует блокировать скачивание из служба Power BI. Определите, какие метки конфиденциальности следует включить.

Политики действий

Политики действий в Defender для облака Приложения не работают в режиме реального времени.

Политику действий можно настроить для проверки событий, записанных в журнале действий Power BI. Политика может действовать с одним действием или действовать на повторяющихся действиях одного пользователя (если определенное действие происходит более определенного числа раз в течение заданного количества минут).

Политики действий можно использовать для отслеживания действий в служба Power BI различными способами. Ниже приведены некоторые примеры того, что можно достичь.

  • Несанкционированный или непредвиденный просмотр привилегированного содержимого пользователей: пользователь, который не является членом определенной группы безопасности (или внешнего пользователя), просматривал высоко привилегированный отчет, предоставленный совету директоров.
  • Несанкционированные или непредвиденные параметры клиента обновления пользователей: пользователь, который не является членом определенной группы безопасности, например группы администраторов Power BI, обновил параметры клиента в служба Power BI. Вы также можете получать уведомления при обновлении параметра клиента.
  • Большое количество удалений: пользователь удалил более 20 рабочих областей или отчетов за период времени, который составляет менее 10 минут.
  • Большое количество скачиваемых файлов: пользователь скачал более 30 отчетов за период времени, который составляет менее пяти минут.

Типы оповещений политики действий, описанные в этом разделе, обычно обрабатываются администраторами Power BI в рамках их надзора за Power BI. При настройке оповещений в приложениях Defender для облака рекомендуется сосредоточиться на ситуациях, представляющих значительный риск для организации. Это связано с тем, что каждое оповещение должно быть проверено и закрыто администратором.

Предупреждение

Так как события журнала действий Power BI недоступны в режиме реального времени, их нельзя использовать для мониторинга или блокировки в режиме реального времени. Однако можно использовать операции из журнала действий в политиках действий. Обязательно обратитесь к вашей группе информационной безопасности, чтобы проверить, что технически возможно, прежде чем перейти слишком далеко в процесс планирования.

Контрольный список . При планировании политик действий ключевые решения и действия включают:

  • Определите варианты использования для мониторинга действий: компилируйте список конкретных действий из журнала действий Power BI, которые представляют значительный риск для организации. Определите, связан ли риск с одним действием или повторяющихся действий.
  • Координация усилий с администраторами Power BI. Обсуждение действий Power BI, которые будут отслеживаться в Defender для облака приложениях. Убедитесь, что между разными администраторами нет дублирования усилий.

Затронутые пользователи

Одной из убедительных причин интеграции Power BI с Defender для облака Apps является преимущество управления в режиме реального времени при взаимодействии пользователей с служба Power BI. Для этого типа интеграции требуется управление приложением условного доступа в идентификаторе Microsoft Entra.

Прежде чем настроить управление условным доступом в идентификаторе Microsoft Entra, необходимо рассмотреть, какие пользователи будут включены. Обычно все пользователи включаются. Однако могут возникнуть причины исключения конкретных пользователей.

Совет

При настройке политики условного доступа, скорее всего, администратор Microsoft Entra исключит определенные учетные записи администратора. Этот подход предотвратит блокировку администраторов. Рекомендуется, чтобы исключенные учетные записи являются администраторами Microsoft Entra, а не стандартными пользователями Power BI.

Некоторые типы политик в приложениях Defender для облака могут применяться к определенным пользователям и группам. Чаще всего эти типы политик применимы ко всем пользователям. Однако возможно, что вы столкнетесь с ситуацией, когда необходимо специально исключить определенных пользователей.

Контрольный список . При рассмотрении затронутых пользователей ключевые решения и действия включают:

  • Рассмотрим, какие пользователи включены: убедитесь, будут ли все пользователи включены в политику управления приложениями условного доступа Microsoft Entra.
  • Определите, какие учетные записи администратора следует исключить. Определите, какие учетные записи администраторов должны быть специально исключены из политики управления приложениями условного доступа Microsoft Entra.
  • Определите, применяются ли определенные политики Defender к подмножествам пользователей. Для допустимых вариантов использования рассмотрите, следует ли применять их ко всем или некоторым пользователям (по возможности).

Обмен сообщениями пользователей

Определив варианты использования, необходимо учитывать, что должно произойти при наличии действий пользователей, которые соответствуют политике.

Если действие блокируется в режиме реального времени, важно предоставить пользователю настраиваемое сообщение. Это сообщение полезно, если вы хотите предоставить пользователям больше рекомендаций и осведомленности в ходе обычного рабочего процесса. Скорее всего, пользователи будут читать и поглощать уведомления пользователей, когда они:

  • Конкретный вопрос. Сопоставление сообщения с политикой упрощает понимание.
  • Действие: предложение о том, что им нужно сделать, или как найти дополнительные сведения.

Некоторые типы политик в приложениях Defender для облака могут иметь настраиваемое сообщение. Ниже приведены два примера уведомлений пользователей.

Пример 1. Вы можете определить политику управления сеансами в режиме реального времени, которая предотвращает экспорт и скачивание, если метка конфиденциальности для элемента Power BI (например, отчета или семантической модели) имеет значение "Строго ограниченный". Настраиваемое сообщение блока в Defender для облака Приложения считывает: файлы с меткой "Строго ограниченный" не разрешены для скачивания из служба Power BI. Просмотрите содержимое в Интернете в служба Power BI. Обратитесь в службу поддержки Power BI с любыми вопросами.

Пример 2. Вы можете определить политику доступа в режиме реального времени, которая предотвращает вход пользователя в служба Power BI, если они не используют компьютер, управляемый организацией. Настраиваемое сообщение блока в приложениях Defender для облака считывается: служба Power BI могут быть недоступны на личном устройстве. Используйте устройство, предоставленное организацией. Обратитесь в службу поддержки Power BI с любыми вопросами.

Контрольный список. При рассмотрении сообщений пользователей в приложениях Defender для облака ключевые решения и действия включают:

  • Решите, когда требуется настраиваемое сообщение блока: для каждой политики, которую вы планируете создать, определите, требуется ли настраиваемое сообщение блока.
  • Создание настраиваемых сообщений блокировок. Для каждой политики определите, какое сообщение должно отображаться пользователям. Запланируйте связь каждого сообщения с политикой таким образом, чтобы он был конкретным и практическим.

Оповещение администратора

Оповещения полезны, если вы хотите, чтобы администраторы безопасности и соответствия знали, что произошло нарушение политики. При определении политик в приложениях Defender для облака рассмотрите необходимость создания оповещений. Дополнительные сведения см. в разделе "Типы оповещений" в Defender для облака Apps.

При необходимости можно настроить оповещение для отправки электронной почты нескольким администраторам. Если требуется оповещение по электронной почте, рекомендуется использовать группу безопасности с поддержкой почты. Например, можно использовать группу с именем "Оповещения администратора безопасности и соответствия требованиям".

Для ситуаций с высоким приоритетом можно отправлять оповещения по текстовому сообщению. Кроме того, можно создать настраиваемую автоматизацию оповещений и рабочие процессы путем интеграции с Power Automate.

Вы можете настроить каждое оповещение с низким, средним или высоким уровнем серьезности. Уровень серьезности полезен при приоритете проверки открытых оповещений. Администратору потребуется проверить и выполнить каждое оповещение. Оповещение может быть закрыто как истинное положительное, ложное положительное или доброкачественное.

Ниже приведены два примера оповещений администратора.

Пример 1. Вы можете определить политику управления сеансами в режиме реального времени, которая предотвращает экспорт и скачивание, если метка конфиденциальности для элемента Power BI (например, отчета или семантической модели) имеет значение "Строго ограниченный". Он содержит полезное настраиваемое сообщение блока для пользователя. Однако в этой ситуации не нужно создавать оповещение.

Пример 2. Вы можете определить политику действий, которая отслеживает, просматривает ли внешний пользователь высоко привилегированный отчет, предоставленный совету директоров. Вы можете настроить оповещение с высоким уровнем серьезности, чтобы убедиться, что действие быстро расследуется.

Совет

В примере 2 описаны различия между защитой информации и безопасностью. Ее политика действий поможет определить сценарии, в которых пользователи самообслуживания бизнес-аналитики имеют разрешение на управление безопасностью содержимого. Тем не менее, эти пользователи могут принимать меры, которые не рекомендуется политикой организации. Рекомендуется настроить эти типы политик только в определенных обстоятельствах, когда информация особенно конфиденциальна.

Контрольный список. При рассмотрении оповещения администраторов в Defender для облака Приложения, ключевые решения и действия включают:

  • Определите, когда требуются оповещения: для каждой политики, которую вы планируете создать, определите, какие ситуации гарантируют использование оповещений.
  • Уточняйте роли и обязанности. Определите ожидания и действия, которые следует предпринять при создании оповещения.
  • Определите, кто будет получать оповещения: решите, какие администраторы безопасности и соответствия будут проверять и действовать открытые оповещения. Убедитесь, что требования к разрешениям и лицензированию выполняются для каждого администратора, который будет использовать Defender для облака Приложения.
  • Создайте новую группу: при необходимости создайте новую группу безопасности с поддержкой почты, используемую для Уведомления по электронной почте.

Соглашение об именовании политик

Перед созданием политик в Defender для облака Apps рекомендуется сначала создать соглашение об именовании. Соглашение об именовании полезно, если существует множество типов политик для многих типов приложений. Это также полезно, когда администраторы Power BI становятся участниками мониторинга.

Совет

Рассмотрите возможность предоставления Defender для облака приложений доступ к администраторам Power BI. Используйте роль администратора, которая позволяет просматривать журнал действий, события входа и события, связанные с служба Power BI.

Рассмотрим шаблон соглашения об именовании, включающий заполнители компонентов: <Application> — <Description> — <Action> — <Тип политики>

Ниже приведены некоторые примеры соглашений об именовании.

Тип политики Режим реального времени Имя политики
Политика сеанса Да Power BI — метка с высоким уровнем ограничений — блокировка загрузки — RT
Политика доступа Да Все — неуправляемые устройства — блокировка доступа — RT
Политика действий No Power BI — административное действие
Политика действий No Power BI — исполнительный отчет о внешних представлениях пользователей

К компонентам соглашения об именовании относятся следующие компоненты:

  • Приложение: имя приложения. Префикс Power BI помогает группировать все политики, относящиеся к Power BI , при сортировке. Однако некоторые политики применяются ко всем облачным приложениям, а не только к служба Power BI.
  • Описание: часть описания имени будет отличаться больше всего. Она может включать метки конфиденциальности, затронутые или тип отслеживаемого действия.
  • Действие: (необязательно) В примерах одна политика сеанса имеет действие блокировки загрузки. Как правило, действие необходимо только в том случае, если это политика в режиме реального времени.
  • Тип политики: (Необязательно) В примере суффикс RT указывает, что это политика в режиме реального времени. Определение того, является ли это режимом реального времени или не помогает управлять ожиданиями.

В имя политики не нужно включать другие атрибуты. К этим атрибутам относятся уровень серьезности (низкий, средний или высокий) и категория (например, обнаружение угроз или защита от потери данных). Оба атрибута можно фильтровать на странице оповещений.

Совет

Политику можно переименовать в приложениях Defender для облака. Однако нельзя переименовать встроенные политики обнаружения аномалий. Например, общий доступ к подозрительным отчетам Power BI — это встроенная политика, которая не может быть переименована.

Контрольный список . При рассмотрении соглашения об именовании политики ключевые решения и действия включают:

  • Выберите соглашение об именовании: используйте первые политики, чтобы установить согласованное соглашение об именовании, которое нужно интерпретировать прямо. Сосредоточьтесь на использовании согласованного префикса и суффикса.
  • Документируйте соглашение об именовании: укажите справочную документацию о соглашении об именовании политик. Убедитесь, что системные администраторы знают о соглашении об именовании.
  • Обновите существующие политики: обновите все существующие политики Defender, чтобы соответствовать новому соглашению об именовании.

Требования к лицензированию

Для мониторинга клиента Power BI необходимо использовать определенные лицензии. Администраторы должны иметь одну из следующих лицензий.

  • приложения Microsoft Defender для облака: Предоставляет возможности Defender для облака Приложения для всех поддерживаемых приложений (включая служба Power BI).
  • Office 365 Cloud App Security: предоставляет возможности приложений Defender для облака для приложений Office 365, входящих в набор Office 365 E5 (включая служба Power BI).

Кроме того, если пользователям необходимо использовать политики доступа в режиме реального времени или политики сеансов в приложениях Defender для облака, им потребуется лицензия Microsoft Entra ID P1.

Совет

Если вам нужны уточнения о требованиях к лицензированию, обратитесь к группе учетных записей Майкрософт.

Контрольный список . При оценке требований к лицензированию ключевые решения и действия включают:

  • Проверьте требования к лицензированию продукта. Убедитесь, что вы проверили все требования к лицензированию для работы с Defender для облака приложениями.
  • Приобретение дополнительных лицензий: при необходимости приобретите дополнительные лицензии для разблокировки функциональных возможностей, которые вы планируете использовать.
  • Назначение лицензий. Назначение лицензии каждому администратору безопасности и соответствия требованиям, которые будут использовать Defender для облака приложения.

Документация и обучение пользователей

Прежде чем развертывать приложения Defender для облака, рекомендуется создавать и публиковать документацию пользователей. Страница SharePoint или вики-страница на централизованном портале может работать хорошо, так как это будет легко поддерживать. Документ, отправленный в общую библиотеку или сайт Teams, также является хорошим решением.

Цель документации — обеспечить простой пользовательский интерфейс. Подготовка документации пользователя также поможет вам убедиться, что вы рассмотрели все.

Включите сведения о том, кто должен связаться, когда у пользователей возникли вопросы или технические проблемы.

Часто задаваемые вопросы и примеры особенно полезны для пользовательской документации.

Контрольный список . При подготовке пользовательской документации и обучения ключевые решения и действия включают:

  • Документация по обновлению создателей контента и потребителей: обновите часто задаваемые вопросы и примеры, чтобы включить соответствующие сведения о политиках, с которыми могут столкнуться пользователи.
  • Публикация справки. Убедитесь, что пользователи знают, как получить помощь при возникновении непредвиденного или того, что они не понимают.
  • Определите, требуется ли определенное обучение: создайте или обновите обучение пользователей, чтобы включить полезную информацию, особенно если это необходимо сделать.

Поддержка пользователей

Важно проверить, кто будет отвечать за поддержку пользователей. Обычно использование Defender для облака приложений для мониторинга Power BI осуществляется централизованной ИТ-службой технической поддержки.

Возможно, вам потребуется создать документацию для службы технической поддержки и провести некоторые сеансы передачи знаний, чтобы служба поддержки готова реагировать на запросы на поддержку.

Контрольный список . При подготовке к функции поддержки пользователей ключевые решения и действия включают:

  • Определите, кто будет предоставлять поддержку пользователей: при определении ролей и обязанностей обязательно укажите, как пользователи получат помощь с проблемами, которые могут возникнуть.
  • Убедитесь, что группа поддержки пользователей готова: создайте документацию и проводите сеансы передачи знаний, чтобы убедиться, что служба технической поддержки готова к поддержке этих процессов.
  • Взаимодействие между командами. Обсуждение сообщений, которые пользователи могут видеть, и процесс устранения открытых оповещений с администраторами Power BI и Центром превосходства. Убедитесь, что все участники подготовлены к потенциальным вопросам от пользователей Power BI.

Сводка по реализации

После принятия решений и подготовки плана развертывания пришло время начать реализацию.

Если вы планируете использовать политики в режиме реального времени (политики сеансов или политики доступа), ваша первая задача — настроить управление условным доступом Microsoft Entra. Вам потребуется настроить служба Power BI в качестве приложения каталога, которое будет управляться Defender для облака Apps.

После настройки и тестирования элемента управления условным доступом Microsoft Entra можно создать политики в Defender для облака Приложениях.

Внимание

Рекомендуется сначала ввести эту функцию для небольшого количества тестовых пользователей. Существует также режим только для монитора, который может оказаться полезным для внедрения этой функции в упорядоченном режиме.

Следующий контрольный список содержит сводный список комплексных шагов реализации. Многие из шагов содержат другие сведения, описанные в предыдущих разделах этой статьи.

Контрольный список. При реализации приложений Defender для облака с помощью Power BI ключевые решения и действия включают:

  • Проверьте текущее состояние и цели. Убедитесь, что у вас есть ясность текущего состояния защиты от потери данных для использования с Power BI. Все цели и требования для реализации защиты от потери данных должны быть четкими и активно использованы для принятия решений.
  • Выполните процесс принятия решений: просмотрите и обсудите все необходимые решения. Эта задача должна выполняться до настройки всех компонентов в рабочей среде.
  • Просмотрите требования к лицензированию: убедитесь, что вы понимаете требования к лицензированию и лицензированию пользователей. При необходимости приобретите и назначьте дополнительные лицензии.
  • Публикация документации пользователя: публикация информации, которую пользователи должны отвечать на вопросы и уточнять ожидания. Предоставьте пользователям рекомендации, обмен данными и обучение, чтобы они были подготовлены.
  • Создайте политику условного доступа Microsoft Entra: создайте политику условного доступа в идентификаторе Microsoft Entra, чтобы включить элементы управления в режиме реального времени для мониторинга служба Power BI. Сначала включите политику условного доступа Microsoft Entra для нескольких тестовых пользователей.
  • Задайте Power BI в качестве подключенного приложения в приложениях Defender для облака: добавьте или убедитесь, что Power BI отображается как подключенное приложение в Defender для облака Apps для управления условным доступом.
  • Выполните первоначальное тестирование: войдите в служба Power BI в качестве одного из тестовых пользователей. Убедитесь, что доступ работает. Кроме того, убедитесь, что отображаемое сообщение сообщает о том, что служба Power BI отслеживается Defender для облака Приложениями.
  • Создайте и проверьте политику в режиме реального времени: используя уже скомпилированные варианты использования, создайте политику доступа или политику сеанса в Defender для облака Apps.
  • Выполнение первоначального тестирования: в качестве тестового пользователя выполните действие, которое активирует политику в режиме реального времени. Убедитесь, что действие заблокировано (при необходимости) и отображаются ожидаемые сообщения оповещений.
  • Сбор отзывов пользователей: получение отзывов о процессе и пользовательском интерфейсе. Определите области путаницы, непредвиденные результаты с типами конфиденциальной информации и другими техническими проблемами.
  • Продолжайте итеративные выпуски: постепенно добавляйте дополнительные политики в Defender для облака Приложения, пока не будут устранены все варианты использования.
  • Просмотрите встроенные политики: найдите встроенные политики обнаружения аномалий в приложениях Defender для облака (у которых есть Power BI в их имени). При необходимости обновите параметры генерации оповещений для встроенных политик.
  • Перейдите к более широкому развертыванию: продолжайте работать с итеративным планом развертывания. Обновите политику условного доступа Microsoft Entra, чтобы применить к более широкому набору пользователей по мере необходимости. Обновите отдельные политики в приложениях Defender для облака, чтобы применяться к более широкому набору пользователей в соответствии с соответствующими параметрами.
  • Мониторинг, настройка и корректировка: инвестировать ресурсы для проверки оповещений о совпадениях политик и журналов аудита на частой основе. Изучите любые ложные срабатывания и при необходимости измените политики.

Совет

Эти контрольные списки суммируются в целях планирования. Дополнительные сведения об этих контрольных элементах см. в предыдущих разделах этой статьи.

Дополнительные сведения о развертывании Power BI в качестве приложения каталога в Defender для облака Apps см. в шагах по развертыванию приложений каталога.

Постоянный мониторинг

После завершения реализации следует обратить внимание на мониторинг, принудительное применение и настройку политик приложений Defender для облака на основе их использования.

Администраторы Power BI и администраторы безопасности и соответствия требованиям должны сотрудничать со временем. Для содержимого Power BI существует две аудитории для мониторинга.

  • Администраторы Power BI. Помимо оповещений, созданных Defender для облака Приложениями, действия из журнала действий Power BI также отображаются на портале Defender для облака Apps.
  • Администраторы безопасности и соответствия требованиям. Администраторы безопасности и соответствия организации обычно используют оповещения Defender для облака Приложения.

Администраторы Power BI могут предоставить ограниченное представление в приложениях Defender для облака. Она использует роль с областью действия для просмотра журнала действий, событий входа и событий, связанных с служба Power BI. Эта возможность удобна для администраторов Power BI.

Контрольный список. При мониторинге приложений Defender для облака ключевые решения и действия включают:

  • Проверьте роли и обязанности. Убедитесь, что вы четко знаете, кто отвечает за какие действия. Обучите и общаться с администраторами Power BI, если они будут отвечать за любой аспект мониторинга.
  • Управление доступом для администраторов Power BI. Добавьте администраторов Power BI в роль администратора с областью действия в Defender для облака Apps. Общаться с ними, чтобы они знали о том, что они могут сделать с этой дополнительной информацией.
  • Создайте или проверьте процесс проверки действий: убедитесь, что администраторы безопасности и соответствия требованиям четко соответствуют ожиданиям регулярного просмотра обозревателя действий.
  • Создайте или проверьте процесс разрешения оповещений: убедитесь, что администраторы безопасности и соответствия требованиям имеют процесс для изучения и разрешения открытых оповещений.

В следующей статье этой серии вы узнаете об аудите защиты информации и предотвращения потери данных для Power BI.